AdvisorsBot é proveniente de antigos domínios C&C que contêm a palavra "advisors", sendo que os especialistas atribuiram o ataque à ameaçada TA5555 que usa este downloader como o payload de primeira fase, que faz download de uma componente para adquirir informação da máquina infetada, isto é, faz o fingerprint da máquina-alvo e outras máquinas também de interesse.

A primeira vez que este downloader foi observado foi em Maio deste ano, escrito em C, embora tenha já outras versões em PowerShell e .NET. Este downloader implementa uma série de funcionalidades anti-análise, como o uso de código "lixo" (instruções extra, instruções de condição e loops) com a intenção de tornar difícil a engenharia reversa do malware.

A comunicação com o servidor C&C é feita através de HTTPS, enviando para esse servidor comandos via pedidos GET. De momento, o malware apenas suporta dois comandos, podendo carregar um módulo ou um shellcode numa thread.

Atividades que desempenha para depois enviar ao servidor C&C:

- Tira um print e codifica-o em base64

- Extrai detalhes da conta do Microsoft Outlook

- Corre os seguintes comandos:

- systeminfo

-ipconfig /all -netstat -f -net view -tasklist -whoami -net group “domain admins” /domain -dir %USERPROFILE%\Desktop -wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,pathToSignedProductExe”